發(fā)布時間：2021-10-23 09:28

　　隨著互聯(lián)網(wǎng)的迅速發(fā)展,人們的很多事情都可以在網(wǎng)上完成,互聯(lián)網(wǎng)已經(jīng)融入到了人們的日常生活當(dāng)中。各行各業(yè)中大量使用的Web應(yīng)用程序,方便了人們使用的同時,也帶來了一些安全問題,加強(qiáng)Web應(yīng)用安全的防御有利于維護(hù)良好的網(wǎng)絡(luò)環(huán)境。根據(jù)OWASP漏洞分類說明,XSS（Cross Site Scripting）長期位于各大漏洞排行榜的前十位。XSS攻擊指攻擊者將惡意腳本寫入到Web應(yīng)用當(dāng)中,并最終在客戶端瀏覽器中執(zhí)行。攻擊者可以利用XSS漏洞獲取用戶隱私信息甚至造成財產(chǎn)損失。針對這些問題,本文對XSS漏洞檢測方法進(jìn)行研究。本文針對XSS漏洞檢測中為了降低漏報率,需要測試大量攻擊載荷而導(dǎo)致檢測效率低下的問題,改進(jìn)了網(wǎng)頁去重方法和XSS漏洞檢測方法,設(shè)計了基于動態(tài)分析的XSS漏洞檢測系統(tǒng)。整篇論文的具體工作內(nèi)容如下:1.闡述了XSS漏洞檢測的研究背景以及意義,介紹前人對XSS檢測方法的研究現(xiàn)狀。2.對現(xiàn)有的XSS檢測技術(shù)和爬蟲相關(guān)技術(shù)進(jìn)行了研究,對XSS漏洞的分類、利用方式、檢測技術(shù)和防御措施進(jìn)行了詳細(xì)分析,并介紹了爬蟲的概念、類型和相關(guān)技術(shù)。3.對現(xiàn)有的網(wǎng)頁去重方法進(jìn)行深入的研究。根據(jù)XSS檢測系統(tǒng)... 

【文章來源】：北京郵電大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：97 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖１－１?國家信息安全漏洞共享平臺（ＣＮＶＤ）近１０年漏洞趨勢圖［２］??根據(jù)國家信息安全漏洞共享平臺（ＣＮＶＤ）統(tǒng)計，如圖１－１所示，近十年漏??

構(gòu)可以看做為圖結(jié)構(gòu)。??Ｃ網(wǎng)頁〇?Ｃ網(wǎng)頁ｄ）??圖２－１?網(wǎng)頁關(guān)系的圖結(jié)構(gòu)??如圖２－１所示，每個節(jié)點(diǎn)表示一個網(wǎng)頁，有向邊表示網(wǎng)頁之間是否存在鏈接??關(guān)系。??２．２．２爬蟲的類型??根據(jù)不同的用途，爬蟲可以分為以下四類：??１、通用網(wǎng)絡(luò)爬蟲??通用網(wǎng)絡(luò)爬蟲通常是搜索引擎使用的爬蟲系統(tǒng)，設(shè)計目標(biāo)是盡可能爬取到??互聯(lián)網(wǎng)中的全部網(wǎng)頁，將網(wǎng)頁存儲備份，并對這些網(wǎng)頁做一些處理，比如，提??取關(guān)鍵字、分析網(wǎng)頁結(jié)構(gòu)內(nèi)容等，最后提供用戶可用的接口［３ｒ＞。爬取流程如圖??２－２所示：??—??？?????ＵＲＬＰ人列？????＾??廣評請＾?＿從ＵＲＬＰ人列中取出?分析網(wǎng)頁內(nèi)容，提滿足＾??＾?■，爬�。眨遥�?取網(wǎng)頁包含的ＵＲＬ?條件＾停止爬�。�??＾?否?■＊??圖２－２通用爬蟲的爬取流程??１２??

Ｃ網(wǎng)頁〇?Ｃ網(wǎng)頁ｄ）??圖２－１?網(wǎng)頁關(guān)系的圖結(jié)構(gòu)??如圖２－１所示，每個節(jié)點(diǎn)表示一個網(wǎng)頁，有向邊表示網(wǎng)頁之間是否存在鏈接??關(guān)系。??２．２．２爬蟲的類型??根據(jù)不同的用途，爬蟲可以分為以下四類：??１、通用網(wǎng)絡(luò)爬蟲??通用網(wǎng)絡(luò)爬蟲通常是搜索引擎使用的爬蟲系統(tǒng)，設(shè)計目標(biāo)是盡可能爬取到??互聯(lián)網(wǎng)中的全部網(wǎng)頁，將網(wǎng)頁存儲備份，并對這些網(wǎng)頁做一些處理，比如，提??取關(guān)鍵字、分析網(wǎng)頁結(jié)構(gòu)內(nèi)容等，最后提供用戶可用的接口［３ｒ＞。爬取流程如圖??２－２所示：??—??？?????ＵＲＬＰ人列？????＾??廣評請＾?＿從ＵＲＬＰ人列中取出?分析網(wǎng)頁內(nèi)容，提滿足＾??＾?■，爬�。眨遥�?取網(wǎng)頁包含的ＵＲＬ?條件＾停止爬�。�??＾?否?■＊??圖２－２通用爬蟲的爬取流程??１２??

【參考文獻(xiàn)】：
期刊論文
[1]基于分隔符的跨站腳本攻擊防御方法[J]. 張慧琳,李冠成,丁羽,段鐳,韓心慧,肖建國.  北京大學(xué)學(xué)報(自然科學(xué)版). 2018(02)
[2]基于用戶行為模擬的XSS漏洞檢測[J]. 王丹,劉源,趙文兵,付利華,杜曉林.  大連理工大學(xué)學(xué)報. 2017(03)
[3]一種基于攻擊向量自動生成的XSS漏洞滲透測試方法[J]. 顧明昌,王丹,趙文兵,付利華.  軟件導(dǎo)刊. 2016(07)
[4]基于模糊測試和遺傳算法的XSS漏洞挖掘[J]. 程誠,周彥暉.  計算機(jī)科學(xué). 2016(S1)
[5]通過HTML編碼防御XSS跨站腳本攻擊的研究[J]. 劉達(dá).  網(wǎng)絡(luò)空間安全. 2016(06)
[6]基于模糊測試的XSS漏洞挖掘技術(shù)研究[J]. 劉金輝,葛麗娜,張靜,趙凱.  網(wǎng)絡(luò)新媒體技術(shù). 2016(01)
[7]基于特征匹配的Web應(yīng)用防火墻的研究與設(shè)計[J]. 辛?xí)越?辛陽,姬碩.  信息網(wǎng)絡(luò)安全. 2015(11)
[8]基于TF-IDF改進(jìn)算法的聚焦主題網(wǎng)絡(luò)爬蟲[J]. 王景中,邱銅相.  計算機(jī)應(yīng)用. 2015(10)
[9]基于動態(tài)測試的XSS漏洞檢測方法研究[J]. 曹黎波,曹天杰.  計算機(jī)應(yīng)用與軟件. 2015(08)
[10]XSS跨站腳本攻擊剖析與防御[J]. 邱永華.  中國科技信息. 2013(20)

碩士論文
[1]基于動態(tài)分析的XSS漏洞檢測方法研究[D]. 李佩佩.華中科技大學(xué) 2016
[2]基于代理的跨站腳本攻擊檢測技術(shù)研究[D]. 徐浩然.電子科技大學(xué) 2016
[3]基于增量式爬蟲的搜索引擎系統(tǒng)的設(shè)計與實現(xiàn)[D]. 韓逸.東北大學(xué) 2015
[4]基于爬蟲和模糊測試的XSS漏洞檢測工具設(shè)計與實現(xiàn)[D]. 王云.華南理工大學(xué) 2015
[5]SQL注入與XSS攻擊自動化檢測關(guān)鍵技術(shù)研究[D]. 韋存堂.北京郵電大學(xué) 2015
[6]基于指令集隨機(jī)化的XSS檢測系統(tǒng)研究[D]. 黃俊.中國科學(xué)技術(shù)大學(xué) 2014
[7]基于網(wǎng)頁正文結(jié)構(gòu)樹的近似網(wǎng)頁去重算法研究[D]. 牙漫.重慶大學(xué) 2013
[8]Web應(yīng)用程序客戶端腳本安全技術(shù)研究[D]. 章明.上海交通大學(xué) 2012
[9]基于網(wǎng)絡(luò)爬蟲的跨站腳本漏洞動態(tài)檢測技術(shù)研究[D]. 趙艷.西南交通大學(xué) 2011
[10]Web安全檢測技術(shù)研究與方案設(shè)計[D]. 鄭光年.北京郵電大學(xué) 2010



本文編號：3452938